El 10 de enero de 2023, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dejó de actualizar los avisos sobre vulnerabilidades en productos de Siemens, limitándose a la divulgación inicial. Aquellos interesados en recibir la información más reciente deben referirse a los avisos de seguridad de productos de Siemens disponibles en su plataforma oficial.
Resumen de Vulnerabilidad:
La vulnerabilidad, identificada como CVE-2024-48510, afecta a los productos Sipass Integrated de Siemens, específicamente a las versiones anteriores a V2.90.3.19 y V2.95.3.15. La calificación de severidad, a través del sistema CVSS V4, es de 9.3, indicando que la vulnerabilidad es remotamente explotable con un bajo nivel de complejidad de ataque. La naturaleza del problema radica en la "limitación inadecuada de un nombre de ruta a un directorio restringido", comúnmente conocida como ‘traversal de ruta’, que podría permitir a un atacante ejecutar código arbitrario en el servidor de aplicaciones.
Análisis de Riesgo:
Si un atacante logra explotar esta vulnerabilidad, podría comprometer severamente la integridad del sistema afectando sectores clave como la fabricación, transporte, energía, atención médica y servicios financieros, entre otros. Cabe destacar que las circunstancias específicas bajo las cuales esta vulnerabilidad podría ser explotada involucran el uso de un conjunto de copias de seguridad alterado para la restauración del sistema.
Detalles Técnicos:
Los productos afectados son principalmente las versiones de Sipass Integrated, donde la vulnerabilidad está presente en ciertas versiones de Dotnetzip. Por otro lado, esta cuestión no afecta a productos que estén bajo el soporte activo de Siemens.
El investigador de Siemens ProductCert fue quien reportó esta vulnerabilidad a CISA, que ha desarrollado una respuesta formal ante ello.
Mitigaciones y Recomendaciones:
Siemens ha lanzado actualizaciones para sus productos Sipass Integrated y recomienda a los usuarios que realicen estas actualizaciones para mitigar el riesgo:
- Actualizar Sipass Integrated V2.90 a la versión V2.90.3.19 o superior.
- Actualizar Sipass Integrated V2.95 a la versión V2.95.3.15 o superior.
Adicionalmente, se sugieren prácticas de seguridad como:
- Restringir el acceso a la restauración de copias de seguridad únicamente a personal de confianza.
- Evitar utilizar archivos de copia de seguridad no confiables.
- Implementar medidas de seguridad en la red que protejan adecuadamente los dispositivos.
Siemens también aconseja que los usuarios configuren sus entornos de acuerdo a las “Pautas operativas de Siemens para la seguridad industrial”, promoviendo una operación en espacios TI seguros.
CISA enfatiza aún más la importancia de reducir la exposición de todos los dispositivos y sistemas de control a Internet y recomendar el uso de VPN cuando sea necesario el acceso remoto. Asimismo, las organizaciones deben llevar a cabo evaluaciones de riesgo antes de aplicar medidas defensivas.
Prácticas Recomendadas y Recursos Disponibles:
CISA proporciona un marco amplio de mejores prácticas en ciberseguridad para la protección de infraestructuras críticas en su sitio web. Se ofrecen diversos recursos como guías técnicas y recomendaciones específicas para mejorar la ciberseguridad de los sistemas de control industrial. Las organizaciones que detecten actividad sospechosa deben seguir sus protocolos internos y reportar a CISA para un seguimiento adecuado.
Hasta la fecha, no se ha reportado ninguna explotación pública conocida de esta vulnerabilidad. Las actualizaciones iniciales sobre este tema fueron documentadas por primera vez el 20 de febrero de 2025.